上政学报 | 张 勇 冯明昱:数字生态下商用密码应用安全的法治保障
点击蓝字
关注我们
数字经济法治
数字生态下商用密码应用安全的法治保障
本文刊登于《上海政法学院学报》2022年第3期
作者简介
张勇,华东政法大学刑事法学院教授、博士生导师;冯明昱,华东政法大学刑事法学院硕士研究生
张勇
内容摘要
密码是信息网络安全保障的核心技术,是促进数字经济发展和保障数据安全的主要手段。在数字经济生态化背景下,数字法治建设需要确立安全与发展的系统思维。随着《密码法》的颁布实施,国家对其从严格管控逐步转向放管结合和推广应用;修订中的《商用密码管理条例》予以回应,凸显促进商用密码应用与保障安全相统一的价值导向。我国应建立商用密码分类分级保护制度,健全事中、事后监管体系,加强安全性评估和国家安全审查,明确相关主体安全义务及法律责任,并促进刑行衔接,构建商用密码应用安全保障的法律体系。
关键词
商用密码;数字法治;安全监管;数据安全
引用格式
张勇,冯明昱:《数字生态下商用密码应用安全的法治保障》,《上海政法学院学报(法治论丛)》2022年第3期。
目次
一、商用密码应用安全保障的理念与原则
(一)数字生态下发展与安全的系统思维
(二)商用密码应用“放管并重”的原则
二、商用密码应用安全等级保护与安全监管
(一)商用密码应用安全等级保护
(二)商用密码应用事中事后监管
(三)安全性评估和国家安全审查
三、商用密码应用安全保障法律义务与责任
(一)商用密码应用安全保障义务
(二)商用密码应用安全的法律责任
四、结语
我国立法机关于2019年10月通过的《密码法》,规定商用密码不属于国家秘密,并从商用密码生命周期的各个方面放宽管制,体现了国家对密码管理实行“放管结合”的改革目标和价值导向。与之相应,2020年8月《商用密码管理条例》(简称“《条例》”)修订稿出台,目前处于向社会征求意见的过程中。《条例》修订稿对1999年的《条例》进行了较大幅度的修改,对商用密码的管理、认证和检测等方面都进行了较为具体的规定,由以前的严格把控转向“放管并重”。值得关注的是,我国正在推进人民币数字化改革,区块链是支撑数字货币运行的核心技术,商用密码则是保障区块链稳定运行的关键,能够为促进数字货币应用和保障安全提供基础支撑。然而,目前我国有关商用密码应用安全保障的法律法规仍存在不足,缺乏体系性和完整性,不能完全适应数字生态发展和安全保障的法律需求。实践中,因网络数据服务提供商没有采用密码保护而导致数据“裸奔”的现象层出不穷,相关行政违法或刑事犯罪不断滋生,严重侵害公民个人的信息数据权利、社会公共利益和国家安全。在数字经济时代,数据安全已然成为关乎国家安全、行业发展以及公民切身利益的重要课题。在我国数字经济发展和《密码法》实施的背景下,如何基于安全与发展相融合的系统思维,完善商用密码应用的规范管理,构建商用密码应用安全法律体系,实现国家政府“放管并重”的改革目标,是我国数字法治建设中必须面对和研究解决的重要问题。本文对此加以探讨。
一、商用密码应用安全保障的理念与原则
(一)数字生态下发展与安全的系统思维
随着云计算、人工智能、物联网以及区块链新技术逐渐融入人类的生产生活,数据作为关键的生产要素,其价值不断凸显,成为驱动数字经济新形态的中坚力量。融合是数字经济的最大特点,海量主体参与市场竞争与合作,相关行业组织共生共荣,线上线下融合成为常态。有学者提出,基于生态系统科学理论,可将数字经济视为一种具有与自然生态系统相类似特征的生态系统;其具备多个亚系统和复杂要素,在结构与功能方面联系紧密,中枢企业、顾客种群和价值群落分别扮演着生产者、消费者和分解者的角色,各群落间形成了协同共生、动态运行的生态系统。在信息化、数字化过程中,人、财、物等生产要素、人们的行为方式和生活方式都在发生着解组和重建,而跨行业、跨要素、跨区域的融合也会带来相应的监管风险。传统安全模式已经向传统与非传统安全交织模式转变,可预见与难以预见的各类风险数量都呈明显增长的态势,安全问题的广度与复杂程度前所未有。数据不正当竞争、数据垄断、平台侵权、算法歧视等问题频发。围绕数据泄露、数据权属纠纷、数据跨境流动展开的数据安全事件层出不穷,成为威胁公民个人信息安全、阻滞数据产业发展、引发国家安全风险的重大问题。发展和安全可谓数字经济的“一体两翼”。长期以来,我国采用“自上而下”的主导模式来实现对传统风险的规制,将重点放在国家公权力机关上,弱化了企业等其他主体的参与力度。无形之中将企业与国家公权力机关置于对立面,容易出现政府规制失灵的现象。对各类技术的严格管制,不仅会阻碍其进步,同时也会削弱公众使用各类技术保护信息安全的能力。过分强调技术的安全性,忽视技术的发展以及公民的私权利,不仅会影响社会秩序、经济秩序,还可能危及国家安全。目前,有关商用密码的配套法律法规并没有完全解决安全与发展这一难题。基于安全与发展相统一的系统思维,我国应当积极开展数字经济立法,优化市场环境,规范市场竞争,完善数字经济发展所需的各类规则体系。通过法律制度供给保障,促进实现数据安全与数据发展的融合共进,支持数字经济生态良性发展。
(二)商用密码应用“放管并重”的原则
近年来,区块链技术为数字经济发展带来了巨大的叠加效应和乘数效应。不同于以往的中心化信任体系,区块链提出了弱中心、多中心信任机制,在数据和价值驱动的网络时代和融合业务场景中发挥了巨大的应用价值。从性质上看,区块链就是通过利用密码技术,将系统内的有效交易进行编码的可附加账本。密码是人、机、物之间可信互认、安全互通的技术基础。通过对信息进行重新编码,在保证信息安全与完整的基础上,还要保证信息的机密性。须指出,自2008年开始涌现的数字加密货币始终是执法部门的一大困扰。不仅产生了各类新型犯罪,犯罪分子还会利用数字加密货币进行洗钱、恐怖活动等传统犯罪活动。不断的技术创新能够推动社会进步,但技术创新必须要对社会的有序运转负责,符合技术伦理的要求。在我国商用密码产业生态持续壮大繁荣,相关从业单位达2000家,累计产值超千亿元的背景下,更有必要推动密码技术的应用与健康发展。因此,我国制定并实施《密码法》,彰显了国家政府简政放权、转变职能、创新监管的改革目标,拓宽了市场准入的标准,减少了行政许可事项,注重事中、事后监管。《条例》修订稿以专章规定商用密码的科技创新和应用促进的制度内容,进一步贯彻了《密码法》“放管并重”的立法原则。一方面,《密码法》对产品的应用、销售、进出口等关键问题和重要环节作出了具体规定,通过取消各类行政审批、行政许可来放宽市场准入,在立法层面上彻底改变了之前对商用密码严格管控的模式。另一方面,《密码法》对重点事项,如涉及国家安全、国计民生、社会公共利益等领域,规定了适度的管制措施;对商用密码应用的放开并非是彻底放开,而是将管控重点由之前的“管企业”转向为“管产品”。《密码法》中第21条规定了“非歧视原则”,对商用密码研、产、销等相关的单位(其中包含外资企业)都要平等地对待,标志着我国开始放开对商用密码运营主体的限制,倡导外商根据商业运行的规则和自由意愿在投资活动中进行商用密码方面的技术研讨与合作。
为了与《密码法》紧密衔接,《条例》修订稿的立法导向亦从严加管制开始转向“放”与“管”的动态平衡,更加突出了促进商用密码发展的立法原意。现行《条例》对商用密码从最初的科研阶段到最后的保密管理阶段都作出了严格规定。然而,如此严格的规定已经无法适应密码技术和应用的需要。从《条例》修订前后的内容来看,后者增加了“科技创新与标准化”“应用与促进”等专章,旨在实现我国商用密码自主创新,以及鼓励成果产业化。主要体现在:⑴商用密码进出口清单制度。这对涉及商用密码的企业,尤其是外资企业,无疑是一个利好消息。具有商用密码研发技术的外商投资企业,可以自由地参与到中国商用密码的市场中来。在我国境内发展的外商投资企业,使用境外的商用密码产品、服务不再需要通过繁琐的审批备案程序,自行使用即可。大量具有商用密码技术、服务的消费品将无需通过密码认证程序即可进入我国市场。与此相应,《条例》修订稿对商用密码的进出口作出规定,被列入《商用密码进口许可清单》和《商用密码出口管制清单》的商用密码需要向国务院商务主管部门申请领取两用物项进出口许可证,再向海关交验两用物项进出口许可证,办理报关手续。实施进出口清单制度,一方面有利于商用密码技术的自由应用与技术进步,另一方面也在一定程度上阻断了其他各国借进出口商用密码之便对我国进行信息控制或者各类商用密码公司借由进出口商用密码进行违法犯罪活动的可能性。⑵商用密码检测认证制度。《密码法》出台以后,我国商用密码的管理制度由之前的“审批制”改为“检测认证制”。只有涉及国家安全、国计民生、社会公共利益的,需强制检测,且只有检测合格的才能销售或提供;对于其他商用密码,国家鼓励其自愿接受检测认证;对于使用网络安全专用产品或关键设备的商用密码,都需要获得专门机构的认证,以证明商用密码有关的服务或产品合格。《条例》修订稿在《密码法》的基础上,进一步对检测、认证机构的资质要求、申请程序、主管机构以及监督管理作出了具体规定。这种分类管理模式对涉及国家和社会公共安全、国计民生的商用密码坚持严格完善的管控制度,而对其他商用密码则在保障其安全使用的基础上给予了充分的自由空间。⑶科技创新与应用促进制度。《条例》修订稿以专章的形式规定了一系列商用密码应用与促进的内容,采取激励手段促进商用密码技术研发和市场活动的发展,完善相关知识产权保护体系。另外,《条例》修订稿规定建立商用密码应用促进的协调机制,加强统筹指导工作;支持各类信息系统使用商用密码产品、服务以提升安全性等。
二、商用密码应用安全等级保护与安全监管
《条例》修订稿规定了国家安全审查、外商投资安全审查、进出口许可与管制等内容。值得注意的是,《密码法》对商用密码应用安全实行等级化保护,这是对商用密码应用实施监管、评估和审查的前提和基础。
(一)商用密码应用安全等级保护
近年来,国家市场监督管理总局、国家标准化管理委员会制定出台了一系列有关安全等级保护的行业规范文件。2017年《网络安全法》确定了网络安全制度架构,既关注对关键信息基础设施的保障,也注重等级保护的方式。该部法律提升了等级保护制度的地位,使之上升到法律层面,不但涵盖了信息安全,更是拓宽至网络安全领域。至此,我国网络安全等级保护步入了“等保2.0”时代。然而,等级保护制度仅是根据受侵害的法益内容以及法益受侵害的程度进行判断。关键信息基础设施覆盖诸多领域,如果其本身发生问题,则相关领域也可能因而受到影响,别的系统的问题可能也会对其产生一定的负面影响。仅仅以等级保护制度为依据对关键信息基础设施受侵害的程度进行考量,而不考虑关键信息基础设施与其他相关系统、领域的关系,很难为其提供全面的安全保障。2018年6月,公安部发布的《网络安全等级保护条例》(征求意见稿),明确规定企业应当根据网络安全等级定级情况采取不同的密码合规要求,其中,三级以上的系统只能使用国家密码管理部门许可、批准的密码产品,且强制其开展安全性评估并依法办理备案。而作为密评主要依据的GM/T0054-2018,也很好地贯彻了网络安全等级分级管理的要求。2020年7月国家立法机关发布的《数据安全法(草案)》第19条也作出原则性规定,国家以数据在经济社会发展中的重要程度为基础,对数据实行分类分级保护。
然而,在《网络安全法》出台以前,我国在立法层面并无对关键信息基础设施内涵的规定,仅以1994年的《计算机信息系统安全保护条例》为依据,对落入关键信息基础设施范围的系统进行保护。国家立法机关在2017年公布的《关键信息基础设施安全保护条例(征求意见稿)》中,尝试确立关键信息基础设施的范围,从政府企事业单位、金融等重点领域横跨到国防科研领域、通讯新闻类各个重点领域。该文件将关键信息基础设施的范围按照行业领域分为五个方面,即为公众提供网络信息服务或者支撑诸如能源、通信等重要行业运转的系统。可以看出,上述规定基本上都是以信息系统所涉及的领域为基础,确定关键信息基础设施的范围。在《网络安全法》相关规定的基础上,《条例》修订稿进一步细化了等级保护和关键信息基础设施保护制度,要求非涉密的关键信息基础设施、网络安全等级保护第三级以上网络、国家政务信息系统等网络与信息系统,应当使用经检测认证合格或列入商用密码技术指导目录的产品、服务或技术。《条例》修订稿第38条规定,应当注重网络安全等级与关键信息基础设施安全检测评估之间的有效衔接,尽可能地规避重复性的测评以及无效的评估。需要注意的是,等级保护制度与关键信息基础设施保护制度之间存在竞合。二者在保护范围、监管措施以及保护方式上都存在重叠性。制度的竞合很容易导致同一信息系统被采取多个类似的监管措施,浪费大量的人力、物力、财力。因此,可以考虑通过关键信息基础设施保护制度与等级保护制度相互吸收的方式来解决。例如,2013年美国发布的总统行政令中,规定了横跨化学制品、通信、商业设施、国防工业基地等16类关键基础设施领域,并进行分类管理;俄罗斯提出将关键信息基础设施作分级处理,按照信息系统对社会秩序、经济运转等因素的影响划分不同等级。笔者认为,关键信息基础设施以等级保护制度为基础,重点保护范围内的信息系统,应当采用更为安全的防护措施。等级保护制度的着重点在于对不同信息系统进行等级测评,从而促进对应的信息系统采取与其信息系统重要性相匹配的安全防护措施。而关键信息基础设施保护制度的侧重点在于将各信息系统的信息安全资源加以整合,建立监管者、运营者和第三方合作机制,从而交换信息安全的风险信息,交流预判信息风险的技术和经验,快速有效地处置相关信息安全事件。须指出,实践中,既要防止“双重评价”所带来的阻滞技术创新等负面影响,也要防止“评价不足”所导致的各类重要信息系统处于监管的真空地带等不良后果。
具体来说,对于商用密码保护来说,可以按其面向的数据内容进行分类,将商用密码分为面向国家安全相关数据;面向涉及政府信息、国计民生诸如金融、电力、交通等行业数据;面向个人、企业数据三类。而对商用密码的分级保护则可以采用等保2.0制度定级标准进行划分。就分类与分级的关系来看,两者属于不同维度、但密不可分。从逻辑顺序上,应当是先“分类”后“分级”,两者结合起来完成对商用密码安全性的识别和判断。《网络安全等级保护定级指南》4.2规定了决定等级保护对象级别的两个定级要素;4.3规定了定级要素与安全保护等级的关系。(见表1)
表1 定级要素与安全保护等级的关系
参照上述规定,对商用密码安全的法律保护应当在对不同领域的数据进行分类的基础上,综合考虑影响分级的各种定级要素,确定安全保护的不同层级,选择不同的保护模式,兹不赘述。
(二)商用密码应用事中事后监管
不同领域的信息系统对商用密码安全性的要求也有所不同。针对所用商用密码采用相同的监管模式,未免过于僵硬,并不利于实现商用密码自由使用与安全保障之间的平衡。根据《密码法》第26条规定,对于网络关键设备和被列入网络安全专用产品目录的商用密码,应当进行强制性检测,认证后方可提供或销售。同时,该法第31条规定,应当建立事中、事后监管制度和统一的监督管理信息平台,实现监督体系与社会信用体系的衔接。在此基础上,《条例》修订稿对事中、事后监管制度作了进一步细化。其中第44条规定,应当建立商用密码市场主体信用记录、信用分级分类监管、失信惩戒以及信用修复等机制。然而,《密码法》和《条例》修订稿都仅是对建立事中、事后监管制度作出了原则性规定,而无具体细则推进其落地实施。实践中,监管部门已经从最初的重事前审批,从源头控制商用密码应用转向为侧重于事中、事后的监管模式。国家密码管理局发布的《关于做好商用密码产品生产单位审批等4项行政许可取消后相关管理政策衔接工作的通知》,为防范行政许可取消后可能出现的风险制定了各种事中、事后监管措施。主要包括:强化审核审批力度,尤其是针对进出口的商用密码,着重审核其最终用户、用途;全面落实“双随机一公开”制度,及时向社会公开执法结果;加大违法违规查处力度并依法公开执法相关信息,增强执法威慑力等。《条例》的修订可以参照上述规定予以完善。
(三)安全性评估和国家安全审查
根据《密码法》第27条规定,关键信息基础设施应当使用商用密码,开展安全性评估活动;凡是采用了可能对国家安全产生影响的商用密码产品、服务的,都应当进行国家安全审查。2020年4月,国家密码管理局以及网信办等多个部门联合发布的《网络安全审查办法》,为国家安全审查工作的开展提供了详细的制度依据。《条例》修订稿第38条规定,非涉密的关键信息基础设施、网络安全等级保护第三级以上网络、国家政务信息系统等网络与信息系统,不论是自行抑或是委托商用密码的检测机构,都应当开展应用的安全性评估活动。实际上,关键信息基础设施和网络安全等级保护在第三级以上的信息系统,其涉及的领域往往都是对国家安全、社会公共安全抑或是国计民生具有重大影响的。实质上,我国建立商用密码应用安全性评估以及国家安全审查制度,体现了国家对国家安全利益、发展利益、主权利益的重视。国家对各类信息系统,尤其是对关键信息基础设施或网络安全等级在第三级及以上的信息系统采取了各类技术防范措施,并通过完善管理制度,在行政法层面乃至刑事法层面来防范商用密码从研发到使用各环节中可能出现的安全风险。此外,为了避免重复评估、测评,《条例》修订稿也要求加强商用密码的安全性评估、关键信息基础设施的安全检测评估、网络安全等级测评之间的协调性。然而,对于是否开展某一项评估就无须开展其他两项评估、测评,仍有待主管机构进一步予以明确。
三、商用密码应用安全保障法律义务与责任
(一)商用密码应用安全保障义务
从国外商用密码立法来看,各国政府无不重视公权力介入和监管,以保障国家信息网络安全。同时,商用密码的应用也逐渐得到重视和法律保障。例如,美国政府曾要求在加密产品中加入密钥恢复机制,以便法律执行部门在需要时获取信息明文,否则该产品就不被允许投入市场使用。然而,此规定一经发布就遭到业界人士以及公民自由团体的强烈反对,理由是将密码托管给执法机构的政策会导致公民隐私保护被削弱,最终美国政府在1999年放弃该政策。2001年施行的《爱国者法案》赋予了司法、情报部门很大程度的自由,允许其在不经批准的情况下监控手机用户的通信信息,甚至是银行信用记录、互联网通讯记录。此规定大大扩张了国家公权力机关的权力范围,引发了不少争议。因此,2015年美国开始施行《自由法案》,全面禁止政府大规模收集公民个人信息的行为,并规定只有在涉及恐怖活动调查时,且有通讯运营商提供数据的需要时,司法机关才能在取得外国情报监督法庭许可后,向通信运营商索要证据。在紧急情况下则无需获取许可,即可直接获取。然而,仅依靠公权力机关不足以满足监管的需要。我们应当理性地认识到在数字生态下商用密码应用安全的法治保障,一方面依赖于政府规治的法治化、规范化和公平化水平的加强;另一方面则依赖于放权于社会,让各类主体在更大范围内和更高程度上发挥协作治理作用。而网络服务提供者正是保障数据安全中的重要力量。不少国家政府也认识到了这一点,通过立法充分发挥其“守门人”的作用,规定当政府具有执法需求且服务提供商存储了加密信息时,政府可以强制要求网络服务提供者履行协助执法的义务,网络服务提供者应当提供通信内容以满足执法需求。我国《国家安全法》《反恐法》《网络安全法》和《密码法》均原则性地规定了信息网络服务利用者、提供者、运营者等相关主体有关国家安全保障的保护义务要求。《条例》修订稿第46条也明文规定了公民、法人或其他组织应当提供协助义务。应当说,一般的公民和组织都负有相应的商用密码应用安全的保护义务,网络服务提供者是不可或缺的一员。如果网络服务提供者不履行商用密码应用安全的协助和保密义务,就应当承担相应的法律责任,其安全保护义务是追究其法律责任的根据和前置条件。具体来说,包括以下两个方面的内容:
1.商用密码应用安全协助义务。司法实践中,侦查机关办理案件总是需要调取各类处于加密的信息,但商用密码的广泛应用往往给司法机关的侦查活动带来了阻碍,大量违法犯罪案件无法被及时发现、制止。由于商用密码所保护的是各类数据,数据所存储的是关于公民个人隐私的各类信息,随着数据的流动使用,个人信息主体已经不再完全是数据安全利益的主体,数据安全利益是由个人安全、公共安全和国家安全组成的多层次体系。首先,从利益衡量的角度来看,国家安全更为重要,其优先级应当更高。诚然,在一定程度上,网络服务提供商履行协助解密义务是对公民个人信息甚至对其隐私权的侵扰。但对于危害国家安全犯罪、恐怖活动犯罪、黑社会性质类犯罪、毒品犯罪、贪污贿赂犯罪等其他危害国家安全、社会公共安全的犯罪以及侵害公民人身安全的重大犯罪来说,要求网络服务提供商履行协助解密义务所带来的利益远大于公民的隐私权、通信自由权抑或是其企业运营的自由权。其次,在适用前提方面,协助解密的行为实质上还是对公民隐私权、通信自由权的侵扰。因此,即便是在上述种类的案件中,司法机关也不能直接要求服务商等相关主体履行协助义务,必须是在司法机关采取了应当采取的侦查措施后难以获取证据、查明案情等情况下。或者司法机关在付出大量人力物力的情况下可以完成侦查任务,但会给国家安全、社会公共安全以及公民人身安全带来更严重的损害,才可以要求网络服务提供商等相关主体提供协助义务。其三,在协助程度方面,许多国家立法规定,网络服务提供商应当在其能力范围内履行协助解密的义务。由于网络服务提供商提供的信息涉及个人信息等隐私敏感数据,对于用户个人加密的数据,应当由用户本人承担协助义务,而网络服务商无须承担。在借鉴国外立法的基础上,我国立法对商用密码应用安全协助义务应当作出如下规定:一是针对严重损害国家安全、社会公共安全以及公民人身安全的重大犯罪,当司法机关采取侦查措施后难以获取证据、查明案情时,应当向有关部门提交报告申请并获得批准。报告内容包括获取信息的目的、范围等。网络服务提供商应当及时履行协助解密义务,以明文形式向司法机关提供与案情有关的加密信息,或者为司法机关提供将加密数据转化为明文的解密工具。二是针对由用户个人加密的数据,在涉及严重损害国家安全、社会公共安全以及公民人身安全的重大犯罪中,当司法机关采取侦查措施后难以获取证据、查明案情时,应当向有关部门提交报告申请并获得批准。报告内容包括获取信息的目的、范围等。公民、法人或者其他组织应当及时履行协助解密义务,以明文向司法机关提供与案情有关的加密信息,或者提供解密工具。
2.商用密码应用安全保密义务。在商用密码的法律规制中,最重要的问题就是如何实现自由与安全之间的平衡。在数据的个人安全、公共安全、国家安全之间,应当坚持“数据正义”的原则,不能片面地强调个人安全法益而舍弃公共安全、国家安全法益的保护。反之亦然,应兼顾两者之间的平衡。一方面,执法机构要求网络服务提供商等相关主体履行协助义务提交涉及公民个人信息等敏感数据时,若网络服务提供商或者执法机构的工作人员将其泄露,将会对公民的隐私造成重大侵害;另一方面,网络服务提供商在履行协助义务时具有获得办案具体信息的可能性,一旦其将案件相关信息向外泄露,对于案件侦查将造成困难。因此,对于执法者以及网络服务提供商应当作出严格规制,要求其对于履行协助义务过程中所获知以及提交的各类信息应当严格保密,不得透露,非法出售、向他人提供;对于协助义务的履行,网络服务提供商也应当予以保密,在案件侦查期间不得向外告知。具体来说,商用密码应用安全保密义务应当包括如下内容:其一,网络服务提供商以及其他组织、个人对其履行协助义务过程中所获知、提交的各类信息以及协助义务的履行都应当严格保密,不得透露。其二,司法机关及其工作人员应当对办案过程中所获知的任何信息都予以保密,履行协助解密义务所提供的各类信息都应当只能用于案件侦查的相关活动中。其三,若网络服务提供商以及其他组织、个人提供的信息中有部分内容与案情无关,司法机关应当及时将这部分信息予以彻底清除。
(二)商用密码应用安全的法律责任
首先,在《密码法》和《条例》修订稿中,法律所规制的行为类型可以分类为检测活动、电子认证服务、进出口、商用密码的使用、国家安全审查等活动。从《条例》修订稿第8章“法律责任”的规定来看,其对商用密码应用的规制重点在于,商用密码是否在国家规定的轨道上进行全生命周期的活动,即是否按照规定进行科研、生产、销售、运输、进出口活动。在行政处罚方面,对行政违法主体基本上都是处以警告、没收违法所得、罚款这三类行政处罚。对于情节严重的行为,还会处以责令停业整顿,直至吊销资质的行政处罚。须指出,网络服务提供者具有履行协助网络安全管理义务,是网络社会治理的关键。但网络服务提供商并非具有像公权力机关一样的管理者地位,其扮演的只是提供网络服务的角色。因此,国家法律不能强制要求服务提供者履行和“网络警察”同样的监管义务和责任。实践中,出现频率较高的与商用密码技术相关的安全事件就是服务提供商未使用商用密码对数据库加密,从而引发数据泄露的情况。存储这类涉及个人敏感信息的数据系统往往会被定级为安全保护等级第三级及以上,法律要求其使用商用密码以保护其系统安全,否则将根据《条例》修订稿第58条的规定由密码管理部门责令其改正,并给予警告。若其存在拒不改正或者其他严重情节的,则对其处以罚款处罚。如果经监管部门责令改正后依然拒不采取改正措施,导致出现用户信息泄露等严重后果,则可以追究其拒不履行网络安全管理义务罪的刑事责任。
其次,我国《网络安全法》以及《条例》修订稿规定安全保护等级三级以上的计算机信息系统,应当使用商用密码保护。国家司法机关在制定《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》的过程中,曾设想将国家机关、军队、国防工业、科研领域中安全保护等级达到三级以上的计算机信息系统;秘密级以上的涉密计算机信息系统;其他关系国家安全、社会秩序和公共利益的重要计算机信息系统归属于这三类计算机信息系统中。根据此种解释,非法侵入安全等级保护三级以上的计算机信息系统的行为可构成非法侵入计算机信息系统罪。需要注意的是,随着商用密码技术的发展,行为人通过运算非法破解商用密码的难度大大提高,因此,更多的情况是合法持有商用密码的人员将其泄露,这样的行为同样应当认定为非法侵入计算机信息系统罪。
第三,根据《密码法》的规定,商用密码用于保护不属于国家秘密的信息。在实践中,行为人往往不会单纯地为侵入计算机信息系统而破解或非法获取商用密码。更多的则是通过非法进入信息系统获取其中存储的数据。在此情况下,行为人可能构成非法获取计算机信息系统数据罪、侵犯公民个人信息罪或侵犯商业秘密罪。然而,前一种罪名将犯罪客体限定在身份认证信息,不免会与侵犯公民个人信息罪的保护范围有所重叠。因此,可以通过司法解释扩大本罪的保护对象,将所有能够识别公民个人信息的数据都纳入本罪的保护范围中。另外,此类犯罪行为往往会隐匿在看似正常的业务操作中,具有一定的隐蔽性,且由于相关内部人员的权限问题,其所能接触到的数据往往是企业或者组织的核心数据,风险更高。对此,可以考虑降低其入罪门槛,以便与其他犯罪主体作出区分。应当注意的是,由于数据与信息之间具有关联性,在实践中可能会出现侵犯商业秘密罪、侵犯公民个人信息罪与非法侵入计算机信息系统罪等其他计算机犯罪之间产生混淆的情形。但此类计算机系统犯罪所保护的法益是计算机信息系统和数据的安全,传统犯罪保护的则是人身、财产等传统法益,虽然随着科技进步此类计算机犯罪的法益开始逐步呈现吸纳传统法益的趋势,但数据安全法益与人身、财产等传统法益之间是对立关系而非包容关系,因此在面对一侵犯数据的行为时,由于作为犯罪对象的“数据”具有单一性,只能评价为一罪,而不可能对犯罪对象多次进行法益评价,认定不同罪名进而适用法条竞合抑或是想象竞合犯,应当按照从一重罪论处。
第四,商用密码用于保护信息系统安全,密码技术成为很多不法分子从事违法犯罪活动的犯罪工具。比如,不法分子利用“洋葱路由”的加密技术访问暗网,可能构成非法利用信息网络罪、走私罪、恐怖活动犯罪等罪名。实践中,行为人以非法获取比特币为目的,非法传播文件加密程序,将存储在各类信息系统内的数据加密的犯罪行为同样频发。如2015年,一种名为“CTB-Locker”的病毒在全球扩散,其工作原理就是将信息系统内的所有数据作加密处理,并弹出敲诈信息,要求受害人交付一定数目的比特币,否则就将加密的数据彻底销毁。2017年发生的Wanna cry事件,同样也是通过病毒将数据加密来敲诈用户。对于非法传播病毒的行为,我国刑法明文规定破坏计算机信息系统罪的行为方式之一就是故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行,后果严重的行为。由于计算机病毒同医学上的病毒一样,其传播扩散的范围以及后果往往难以控制,因此行为人一般都难以预料病毒扩散的范围。当计算机病毒侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统时,行为人可能会构成非法侵入计算机信息系统罪;若病毒侵入了这三类系统以外的信息系统,则行为人可能构成非法获取计算机信息系统数据罪或非法控制计算机信息系统罪,从而产生犯罪竞合问题,从一重罪定罪处罚即可。
最后,司法机关在认定商用密码应用中相关罪名的时候,须将前置性法律规范作为刑事违法性判断的依据,同时应注意不同前置法规范之间的衔接协调问题。我国《保守国家秘密法》《国家情报法》《中国人民解放军保密条例》《电子认证服务密码管理办法》等现行法律法规分别对商业秘密、商用密码、内幕信息、国家秘密、国家情报与军事秘密等予以保护,不同法律法规保护的对象范围存在交叉重合,相关罪名也存在竞合关系。对刑法中相关罪名的构成要件设置和司法认定,需要依托前置性行政法律规范及行业标准。在信息数据安全领域存在诸多行业规范,如《信息安全技术信息系统密码应用基本要求》《证书认证系统密码及其相关安全技术规范》《SM9标识密码算法》《密码模块安全检测要求》等。从法律效力来看,它们处于较低位阶,但对商用密码安全保护主体义务要求更高。刑法所设置的入罪门槛与行业规范设置的安全标准存在差异,是“最低安全底线”,不能等同。为避免刑事打击范围过大,应将行业规范作为前置法中的参考依据,但不宜直接将其作为判断刑事违法性、认定犯罪的法律根据。
四、结语
目前,我国数字法治建设正在加紧进行,除了《商用密码管理条例》的修订之外,《数据安全法》《个人信息保护法》等重要法律已颁布实施。值得关注的是,我国法定货币数字化改革加速推进,《中国人民银行法》修订草案正在征求意见过程中。《密码法》的实施与《商用密码管理条例》的修订,对于规范和保障区块链和密码技术的融合发展来说,无疑是重大利好,同时也为数字货币的发行提供了法律支撑。然而,只有采用符合国家密码管理法律和政策的密码技术,遵循相关密码标准规范要求,维护网络数据安全、技术安全和应用安全,才能为保障数字经济生态系统的良性运行提供制度保障。从系统论角度看,以数据安全为核心,相关民法、刑法、行政法及行业规范之间应当是衔接协调的,不同法律手段共同发挥作用。司法适用中应尽量避免不同法律规范之间的重复和冲突,从法秩序统一性角度,将某种违法犯罪行为放置在整个法律保护体系之中加以考量,进行违法性的层次性判断,形成刑民关系、刑行关系的衔接协调,形成商用密码应用促进和安全保障的法律规范体系,为我国数字生态良性运行提供“安全阀”和“协调器”,实现数字安全与发展的协调统一。
往期推荐
●上政学报 | 严红 陈庆特:《新加坡调解公约》下虚假调解的界定、挑战及中国因应
●上政学报 | 张帅宇:政府信息公开中的国家秘密例外——以判断过程审查方式为借鉴
●上政学报 | 肖海军:股权转让合同效力认定的商法规则——以《公司法》修改为视角
●上政学报 | 李建伟:股东双重派生诉讼制度为何重要——由10份典型裁判说开去
●上政学报 | 王春业:论百年来党领导法治建设的基本经验与未来展望
●上政学报 | 姚建龙 陈子航:“牛某某性侵未成年人案”观点聚讼与辨正——对新《刑诉法解释》第175条的理解与适用
●上政学报 | 胡雪梅 翟高远:论我国末期患者放弃治疗之法律规制
●上政学报 | 林思含:跨境经济犯罪治理研究——以粤港澳大湾区跨境经济犯罪治理为视角
●上政学报 | 周永坤:法学是科学吗?——德国法学界的史诗性论辩
关于本刊
《上海政法学院学报》创刊于1986 年,原名《法治论丛》(2003年改名为《上海政法学院学报》),至今已走过36年的发展历程。《上海政法学院学报》是我国最早以“法治”命名的法学专业学术期刊之一,立足于弘扬法治精神与当代中国法治实践,坚持理论与实践相结合的特色办刊方向。本刊践行“以法为基,寻社会治理之策;以文为器,求兴国安邦之道”的办刊理念,体现学术性、专业性、知识性的办刊宗旨。坚持正确的政治方向,坚持以高水平、高层次、高质量的学术研究成果,推动社会法治进步。欢迎确立学术命题,实现学术创新,达到学术标准,有理论深度,有历史重感,有广阔视野的作品。
《上海政法学院学报》积极倡导学术民主,坚持特色化、专业化发展道路,在法学研究领域大胆探索,不断总结办刊经验,逐步成长壮大,在学界享有较高的知名度和影响力。2006年底,《上海政法学院学报》被南开大学科研评价系统认定为政治、法律类核心期刊;在2008年3月15日《光明日报》公布的中国人民大学书报资料中心“复印报刊资料”全文转载量的统计排名中,《上海政法学院学报》在所属的政治法律类1269种报刊中排名第25名;根据2011年北京大学“中文核心期刊目录”的分析统计,《上海政法学院学报》在全部法学期刊中位居第31位。本刊已连续六届成为上海市优秀学报、连续四届成为全国高校优秀社科期刊,2018年11月入选中国人文社会科学期刊AMI综合评价报告核心期刊(扩展版)。本刊为国家哲学社会科学学术期刊数据库,CNKI中国期刊全文数据库、北大法律信息网、万方数据-数字化期刊群、超星数据库、龙源期刊网和中国学术期刊(光盘版)全文收录期刊,上网即可查阅到本刊创刊以来的全部稿件。
近些年,以创建一流法学学术期刊为目标,在学校领导及学界、学术期刊界等各方的大力支持下,经过编辑部全体人员的共同努力,《上海政法学院学报》的学术质量及学术影响力都有了明显的提高。影响因子从2016年的0.237上升到2020年的1.97;刊文被《新华文摘》《中国社会科学文摘》《人大复印报刊资料》《高等学校文科学术文摘》等权威二次文献转载和摘编的篇次也明显提高;法学期刊学科排名从2016年的57名上升到第36名。
本刊以“问题意识”为导向,聚焦社会、学术前沿和热点问题,并以此为支撑进行选题策划和栏目、专题设置。2021年第1期在中国人民大学王利明教授、杨立新教授、郭锋副主任等学界大咖及实务界专家和中青年才俊的大力支持下,成功地出版了《民法典》专刊。现已(拟)开设主要特色栏目及专题有“学术关注”“上合组织法治”“新兴权利法律问题研究”“党内法规研究”“域外借鉴”及“<民法典>的解释和适用"“<民法典>背景下的公司法修改”“生物安全法治”“刑事合规研究”“刑法修正案十一专论”“网络法治”“大数据法治”“人工智能法治化”“区块链法治化”“电子商务法治”,等等。
36年来 , 我刊虽然取得了一些进步,但同全国许多优质兄弟期刊相比还存在着很大差距和不足。我们诚挚地欢迎广大海内外科研工作者关注和支持上政学报并惠赐大作,也欢迎各界朋友积极建言献策、批评指正,以期共同办好《上海政法学院学报(法治论丛)》。来稿请通过《上海政法学院学报》编辑部网站(http://www.shupl.edu.cn/xbbjb/)投审稿系统进行投稿。本刊对来稿严格遵守三审(二审外审)定稿制度,以确保稿件选用公开公平公正。
本刊刊稿版权包括纸质版与网络版版权,属于《上海政法学院学报》编辑部, 任何形式 、媒介的转载、摘登译或结集出版均须标明来源于本刊。刊稿仅反映作者个人的观点并不必然代表编辑部或主办单位的立场, 本刊不以任何形式收取版面费。
以法为基,寻社会治理之策
○
以文为器,求兴国安邦之道
投稿邮箱:xuebao@shupl.edu.cn
微信公众号:law-review1986
网址:http://www.shupl.edu.cn/html/xbbjb
电话:021-39227617 39227619
更多内容请点击下方“阅读原文”进入学报官网查看